勞資聚焦:在家工作安排保護個人工作資料的指引

下載PDF

個人資料私隱專員(“私隱專員”)為(1) 機構、(2) 僱員和 (3) 視像會議軟件使用者發布了指引,以加強員工在家工作安排時在使用、存儲和處理個人資料時的資料安全和資料私隱措施。

在這篇文章中,我們簡要地總結了私隱專員發布的三個實用指引(“指引”),並列出雇主需注意的主要要點。

機構指引

機構以資料使用者的身份收集、處理和使用個人資料時,必須遵守《個人資料(私隱)條例》(第486章)附表一規定的保障資料原則(“原則”)。簡言之,該六個原則是:-

  1. 資料收集:必須合法地收集個人資料,而且收集個人資料的目的必須與資料使用者的活動直接相關;
    
  2. 個人資料的準確性及保留時間:資料使用者必須採取切實可行的步驟,確保資料準確無誤,並且保留時間不會超過實際所需;
    
  3. 資料的使用:除非獲得資料當事人的同意,否則資料只能用於收集資料時擬使用或相關的目的;
    
  4. 資料的保安:必須採取切實可行的步驟,保障個人資料不會未經授權地被查閱、處理、刪除、喪失或使用;
    
  5. 公開性和透明度:資料使用者須對使用資料的政策及做法及收集資料的目的保持透明;及
    
  6. 查閱和更正:資料當事人有權查閱並要求更正其個人資料。若資料使用者拒絕資料當事人提出的查閱或改正的要求,便要提供理由。

私隱專員認為雇主對資料安全和僱員個人資料私隱負有主要責任。因此,私隱專員建議機構在實施在家工作安排時可考慮採取下列措施: 

  • 在製定政策之前,對資料保安和員工個人資料私隱進行風險評估;
  • 複檢和修訂現行政策和做法,並在每種情況下就資料和文件傳輸、遠程存取網絡和資料、刪除和銷毀非必要的資料以及處理資料外洩等向僱員提供充分指導;
  • 為員工提供在家工作安排的培訓和支持以確保資料安全,並指派指定員工解決在家工作安排期間出現的問題;
  • 為員工提供電子裝置,並採取資料保護措施,如密碼、防惡意程序軟件、遙距存取、防止公司資料傳輸到個人設備;
  • 鼓勵使用虛擬專用網絡實現對公司網絡的安全遙距存取; 以及 
  • 實施遙距存取保安措施,例如僅根據實際需要授予存取權限和檢查遙距存取紀錄以識別可疑活動。  

僱員指引

於在家工作安排期間,員工可以查閱雇主的資料,這些資料可能經過雇主無法控制的網絡處理,令員工存在違反保障資料原則的風險,尤其是資料安全原則。因此,私隱專員建議採取下列措施,防範潛在風險:

  • 要求僱員遵守雇主有關處理資料的政策;
  • 建議在家工作安排期間以公司設備進行所有與工作相關的事項;
  • 避免在公共場所工作,以防止披露個人資料和限閱信息。但是,如果在公共場所工作是不可避免的,員工應避免使用公共 Wi-Fi,轉而使用流動熱點分享,以及使用防窺濾片等安全措施;
  • 使用 Wi-Fi 時,採取安全措施,如高強度密碼、檢查連接到網絡的電子裝置以及使用更新的安全協議;
  • 要求僱員只用公司電子郵件帳戶作所有與工作相關的通信; 以及
  • 雖然不建議將紙本文件帶出辦公室,但如有必要帶回家中工作,員工應尋求其上司的批准。在可行的情況下,在離開公司前應遮蓋個人資料,且僅應從辦公室帶走必要的文件。此外,員工應在家裡設置安全的檔案櫃,並且應遵循雇主既定的銷毀程序。

視像會議軟件用戶指引

機構和僱員在家工作過程中普遍使用視像會議軟件,為資料保安和個人資料私隱帶來了額外的風險。為提供保障,私隱專員建議採取下列措施:

  • 在選擇特定的視像會議軟件之前,鼓勵機構評估與其使用相關的風險;
  • 使用視像會議設施時,應使用高強度密碼和安全的互聯網網絡;
  • 視像會議的主持人應採取保安措施,如設置獨特的會議ID、虛擬等候室以確保只限授權訪問,並在錄影和存儲記錄之前徵得與會者的同意;和
  • 與會者還應小心確保視像會議和屏幕共享功能期間的背景設置不會導致意外洩露個人資料和敏感信息。

總結

雖然《指引》並非法例,但它為機構提供了實施在家工作安排時的有用的指南。雇主應考慮複檢其現有政策,並適當採取其他措施,以保護個人資料和其他機密信息。

雇主和機構可考慮尋求法律意見,以審查並修訂其與個人資料私隱政策。